[하루한줄] Two CVEs on TCL Android TVs

URL

Extraordinary Vulnerabilities Discovered in TCL Android TVs

Target

TCL android TV

Explain

TCL android TV에 대한 CVE번호가 2개 발급됐습니다. TCL은 중국 전자제품 회사로 현재 TV 시장에서 3번째로 큰 비중을 차지하고 있습니다. 취약점을 제보한 Sick Codes와 John Jackson은 제조사의 의도가 의심스럽다는 말을 조심스럽게 하고 있습니다.

  • CVE-2020-27403 : TV의 7989번 포트에 웹서버가 동작하고 있으며, 단순히 이곳에 접속하는 것 만으로 모든 file system에 접근이 가능합니다.
  • CVE-2020-28055 : 악성 apk 등의 local unprivileged attacker가 critical 한 시스템 리소스에 읽기 및 쓰기가 가능합니다.

7989번 포트는 unassigned port입니다. 즉, 특정한 목적이 부여된 번호가 아니기 때문에 7989번 포트에 http로 file system을 내보낼 이유가 없습니다. 또한 제조사가 TV에 대한 완벽한 원격 제어가 가능합니다.

Please make your own conclusions from our research.

Reference

https://sick.codes/sick-2020-009

https://sick.codes/sick-2020-012